Datenschutz

Oft erreichen uns Fragen zum Thema Sicherheit im Internet bei sensiblen personenbezogenen Daten

Die einfache Antwort: Ja, es ist sicher, auch das Bamf benutzt eine Webmaske im Internet zur Übermittlung der personenbezogenen Daten.

Um sicher zu gehen, hat Datenschutz-Nord für uns ein Sicherheits-Pflichtenheft erststellt, das wir implementiert haben:

Auszüge aus dem Pflichtenheft für Webapplikationen:

Schutzbedarfsfeststellung
Da in der Datenbank sowohl Personaldaten (u.U. Bankverbindung, Anschriften) als auch Teilnehmerdaten (u.U. mit Hinweis auf empfangene Leistungen nach dem SGB 2), ist überwiegend die Stufe C und in Teilen die Stufe D einschlägig. Hieraus resultiert ein überwiegend mittleres bis in Teilen hohes Risiko.

  • Wird der LogIn über Benutzername und Passwort realisiert, darf auf einer Falscheingabe kein Rückschluss gezogen werden, ob Benutzername oder Passwort falsch sind. Hieraus könnten Rückschlüsse auf richtige Eingaben gezogen werden.
  • Die Eingabefelder sind so zu programmieren, dass keine ausführbaren Skripte in diese eingetragen werden können.
  • Die Webapplikation ist TLS 1.2 zu verschlüsseln
  • Neue User erhalten ein Initialpasswort. Dieses ist nach dem ersten
  • erfolgreichen LogIn zu ändern.
  • Die Passwörter sind nicht im Klartext hinterlegt.
  • Hat ein User sein Passwort vergessen, kann sein Zugang nur auf das Initialpasswort zurückgesetzt werden.
  • Das Passwort hat mindestens 6 Stellen.
  • Das Passwort muss mindestens 2 von 4 Merkmalen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen) erfüllen.
  • Nach 10 fehlgeschlagenen LogIn-Versuchen innerhalb eines Zeitraums von 10 Minuten ist der Account für weitere LogIn-Versuche für mindestens 10 Minuten zu sperren.
  • Temporär gesperrte Accounts sind dem lokalen Admin per E-Mail mitzuteilen.
  • Nach einer Inaktivität von 10 Minuten ist der Benutzer automatisch aus der Anwendung auszuloggen (Session-Cookie wird ungültig).
  • Nach erfolgtem LogOut darf eine Rückkehr über den Reverse-Button des Browsers nicht möglich sein.
  • Durch die oben genannten Maßnahmen zur Anmeldung an der Webapplikation
    kann sichergestellt werden, dass nur befugte Benutzer Zugriff auf die Webapplikation haben.
  • Zur Absicherung einer Benutzer-Session ist zusätzlich zum Session-Cookie ein zweites ültigkeitsmerkmal (z.B. IP-Adresse, User-Agent) des Benutzers einzusetzen und zu überprüfen.
  • Zur Identifizierung potentieller Angriffe sind die Protokolldaten regelmäßig auszuwerten. Dies kann durch die lokalen Administratoren der einzelnen Lizenznehmer erfolgen.